Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Группы пользователей
      • Создание группы
      • Настройка прав доступа к группе
      • Назначение прав группе
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Удаление статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
      • Удаление авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • Cookie
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • Федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC (англ.)
      • Overview
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST (англ.)
      • Overview
      • ApiKey
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Overview
        • create
        • createForServiceAccount
      • Key
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Overview
        • get
        • list
      • ServiceAccount
        • Overview
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Overview
        • get
      • YandexPassportUserAccount
        • Overview
        • getByLogin
      • Operation
        • Overview
        • get
      • AccessKey
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
      • Federation
        • Overview
        • list
        • get
        • listUserAccounts
        • delete
        • addUserAccounts
        • update
        • listOperations
        • create
      • Certificate
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Концепции
  2. Сервисные аккаунты

Сервисные аккаунты

Статья создана
Yandex Cloud
  • Зачем нужны сервисные аккаунты
  • Чем отличается сервисный аккаунт от других аккаунтов
  • Ключи сервисного аккаунта

Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Yandex Cloud.

Зачем нужны сервисные аккаунты

Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ.

Например, вы написали приложение, которое отслеживает статусы виртуальных машин. Для этого ей достаточно иметь права на просмотр (роль viewer), но программа работает от вашего имени, а у вас есть права на удаление виртуальных машин.

Чтобы защититься от случайного удаления виртуальной машины вашей программой, создайте сервисный аккаунт и дайте ему доступ только на просмотр.

Имя сервисного аккаунта должно быть уникальным в рамках облака.

Чем отличается сервисный аккаунт от других аккаунтов

  • Сейчас сервисные аккаунты нельзя использовать для входа в консоль управления. Подразумевается, что операции от имени сервисного аккаунта будут выполнять программы, а не люди.

  • Сервисный аккаунт — это ресурс. Вы можете назначать и отзывать роли на сервисный аккаунт у других пользователей. Например, чтобы разрешить использовать этот сервисный аккаунт для работы с Yandex Cloud.

  • Для сервисного аккаунта можно создать ключи, используемые для аутентификации в Yandex Cloud через API, CLI и другие инструменты. Эти ключи будут удалены при удалении сервисного аккаунта.

  • Сервисный аккаунт можно привязывать к виртуальным машинам и функциям, в которых запускается ваша программа.

    Это упрощает масштабирование приложений, работающих с Yandex Cloud:

    • Вам не надо изменять код программы, чтобы она заработала на новой виртуальной машине или функции. IAM-токен для аутентификации уже доступен изнутри.
    • Чтобы разрешить и запретить всем запущенным экземплярам программы выполнять какие-либо операции в Yandex Cloud, вы назначаете или отзываете роли у одного сервисного аккаунта.

Ключи сервисного аккаунта

Для аутентификации сервисного аккаунта в Yandex Cloud используются:

  • авторизованные ключи — используются при получении IAM-токена;
  • API-ключи — используются в некоторых сервисах для упрощенной аутентификации вместо IAM-токена;
  • статические ключи доступа — используются в сервисах с AWS-совместимым API.

Созданные ключи принадлежат сервисному аккаунту и разрешения на управление ключами наследуются от сервисного аккаунта. Например, если у вас есть роль viewer на сервисный аккаунт, то вы сможете посмотреть список ключей, принадлежащих этому аккаунту, но не сможете их удалить или создать новые ключи.

См. также

  • Как начать работать с сервисными аккаунтами
  • Авторизация от имени сервисного аккаунта

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Зачем нужны сервисные аккаунты
  • Чем отличается сервисный аккаунт от других аккаунтов
  • Ключи сервисного аккаунта